Suite protokol TCP / IP, dikembangkan di bawah naungan Jabatan Pertahanan Amerika Syarikat, telah menimbulkan masalah keselamatan yang wujud kepada reka bentuk protokol atau kebanyakan pelaksanaan TCP / IP.
Sejak dinyatakan bahawa peretas menggunakan kelemahan ini untuk melakukan pelbagai serangan terhadap sistem. Masalah biasa yang dieksploitasi dalam protokol rangkaian TCP / IP adalah spoofing IP, pengimbasan port, dan penolakan perkhidmatan.
The Penyelidik Netflix telah menemui 4 kekurangan yang boleh mendatangkan malapetaka di pusat data. Kerentanan ini baru-baru ini ditemui di sistem operasi Linux dan FreeBSD. Mereka membenarkan penggodam mengunci pelayan dan mengganggu komunikasi jarak jauh.
Mengenai pepijat yang dijumpai
Kerentanan paling serius, disebut Panak SACK, dapat dimanfaatkan dengan mengirimkan urutan pengakuan TCP selektif direka khas untuk komputer atau pelayan yang terdedah.
Sistem akan bertindak balas dengan menghempas atau memasuki Kernel Panic. Eksploitasi kerentanan yang berjaya ini, yang dikenal sebagai CVE-2019-11477, mengakibatkan penolakan perkhidmatan dari jauh.
Serangan penolakan perkhidmatan cuba memakan semua sumber penting pada sistem atau rangkaian sasaran sehingga tidak tersedia untuk penggunaan biasa. Serangan penolakan perkhidmatan dianggap risiko yang besar kerana mereka boleh mengganggu perniagaan dengan mudah dan agak mudah dilakukan.
Kerentanan kedua juga berfungsi dengan menghantar rangkaian SACK berbahaya (paket pengesahan jahat) yang menggunakan sumber pengkomputeran sistem yang rentan. Operasi biasanya berfungsi dengan memecah giliran untuk penghantaran semula paket TCP.
Eksploitasi kerentanan ini, dilacak sebagai CVE-2019-11478, merosakkan prestasi sistem dengan teruk dan berpotensi menyebabkan penolakan perkhidmatan sepenuhnya.
Kedua-dua kelemahan ini memanfaatkan cara sistem operasi menangani Kesedaran TCP Selektif yang disebutkan di atas (SACK untuk jangka pendek).
SACK adalah mekanisme yang memungkinkan komputer penerima komunikasi memberitahu pengirim segmen yang telah berhasil dikirim, sehingga yang hilang dapat dikembalikan. Kerentanan berfungsi dengan meluap antrian yang menyimpan paket yang diterima.
Kerentanan ketiga, dijumpai di FreeBSD 12 dan mengenal pasti CVE-2019-5599, berfungsi dengan cara yang sama seperti CVE-2019-11478, tetapi berinteraksi dengan kad penghantaran RACK sistem operasi ini.
Kerentanan keempat, CVE-2019-11479., Dapat melambatkan sistem yang terjejas dengan mengurangkan ukuran segmen maksimum untuk sambungan TCP.
Konfigurasi ini memaksa sistem yang rentan untuk menghantar respons melalui beberapa segmen TCP, masing-masing mengandungi hanya 8 bait data.
Kerentanan menyebabkan sistem menggunakan sejumlah besar lebar jalur dan sumber daya untuk menurunkan prestasi sistem.
Varian serangan penolakan perkhidmatan yang disebutkan di atas termasuk banjir ICMP atau UDP, yang dapat melambatkan operasi rangkaian.
Serangan ini menyebabkan mangsa menggunakan sumber seperti bandwidth dan sistem buffer untuk bertindak balas terhadap permintaan serangan dengan mengorbankan permintaan yang sah.
Penyelidik Netflix menemui kelemahan ini dan mereka mengumumkannya secara terbuka selama beberapa hari.
Pengedaran Linux telah mengeluarkan patch untuk kelemahan ini atau mempunyai beberapa tweak konfigurasi yang sangat berguna yang dapat mengurangkannya.
Penyelesaiannya adalah untuk menyekat sambungan dengan ukuran segmen maksimum rendah (MSS), mematikan pemprosesan SACK, atau mematikan tumpukan TCP RACK dengan cepat.
Tetapan ini boleh mengganggu sambungan yang sahih, dan jika tumpukan TCP RACK dinonaktifkan, penyerang boleh menyebabkan rantai mahal dari senarai yang dipautkan untuk SACK berikutnya yang diperoleh untuk sambungan TCP yang serupa.
Akhirnya, mari kita ingat bahawa rangkaian protokol TCP / IP telah dirancang untuk berfungsi dalam persekitaran yang boleh dipercayai.
Model ini telah dikembangkan sebagai satu set protokol fleksibel, toleransi kesalahan yang cukup kuat untuk mengelakkan kegagalan sekiranya berlaku satu atau lebih kegagalan nod.